Es gibt das Plugin "System - HTTP Header". Dieses kannst du nutzen, um auch die Content Security Policy einzustellen, also die CSP an deine Seite anzupassen. Du kannst CSP zunächst über "Report only" analysieren , bevor du sie "scharf schaltest". Lese dich zu dem Thema aber unbedingt vorher ein! Ist nicht ganz so trivial, wie es auf Anhieb ausschaut.
Nebenbei: Es könnte auch passieren, dass du das Backend aufgrund blockierter für die Optik/Struktur notwendiger Dateien nicht mehr vernünftig bedienen kannst. Ist mir selber schon des Öfteren passiert. Über die DB kann man die Plugin-Einstellungen aber glücklicherweise wieder ändern. 
Also keine Panik, wenn das passieren sollte.
Wie das mit dem "erzwungenen Modus" gemeint ist, kann ich leider nicht beantworten. Nutzt du das Plugin denn schon?
Es gibt das Plugin "System - HTTP Header". Dieses kannst du nutzen, um auch die Content Security Policy einzustellen, also die CSP an deine Seite anzupassen. Du kannst CSP zunächst über "Report only" analysieren , bevor du sie "scharf schaltest". Lese dich zu dem Thema aber unbedingt vorher ein! Ist nicht ganz so trivial, wie es auf Anhieb ausschaut.
Nebenbei: Es könnte auch passieren, dass du das Backend aufgrund blockierter für die Optik/Struktur notwendiger Dateien nicht mehr vernünftig bedienen kannst. Ist mir selber schon des Öfteren passiert. Über die DB kann man die Plugin-Einstellungen aber glücklicherweise wieder ändern.Wie das mit dem "erzwungenen Modus" gemeint ist, kann ich leider nicht beantworten. Nutzt du das Plugin denn schon?
Vielen Dank! Das Plugin ist wohl standardmäßig aktiviert, CSP aber nicht. Es scheint mir wirklich etwas für Profis zu sein, soviel Bahnhof verstehe ich zumindest erstmal. "nonce" und "strict-dynamic" würden es also ermöglichen, auch js von Drittanbietern, sagen wir Maps oder Kontaktformular, laufen zu lassen. Muss das alles, auch der nonce-Generator in die head-section meiner Templates? Ein default-Script für einfache Joomla-Anwender gibt es also eher wohl nicht?
Weitere Info zur CSP siehe z.B. auch den Text und die Links in #16 dort:
Eventuell hilfreich: https://www.joomla.de/wissen/joomla-…p-header-plugin
Ich habe festgestellt, dass 2 Scripte nicht von meiner Seite stammen, das sind mein IONOS-Newsletter und Google-Maps. Kann mir jemand sagen, in welchem Format ich diese Script-Quellen im HTTP-Header-Plugin unter CSP (script-src=?) eingeben sollte?
Was Google Maps betrifft, habe ich auf die Schnelle das hier gefunden:
Google Maps with a Content-Security-Policy
Grundsätzlich kannst du "report-only" nutzen. Dann erhältst du Emails mit entsprechenden Informationen, wenn etwas blockiert wird.
.... und 'inline-unsafe' angeben muss, damit z.B. die Scripte des Templates laufen. Liege ich da richtig?
"unsafe-inline" ist auf jeden Fall zu vermeiden. Was haben Google Maps und der Newsletter denn mit den Skripten des Templates zu tun?
Hast du weitere Probleme? Wenn ja, von welchem Template und welchen Skripten sprichst du?
Was Google Maps betrifft, habe ich auf die Schnelle das hier gefunden:
Danke, das scheint zu funktionieren!
Wenn ich inline-unsafe nicht angebe, funktioniert mein Background-Slider (JUX) nicht. Wie finde ich heraus, was ich da angeben muss?
Mein Template ist Gantry 5. Das scheint ein paar Scripte zu beinhalten.
An Add-On Scripten laufen - neben dem Newsletter von IONOS - sonst noch Creative Contact Form (von Creative Solutions), jSpeed und Event Booking (joomdonation).
Wie finde ich heraus, was ich da angeben muss?
Wie gesagt, ich nutze dafür "report-only". Einrichten und warten, was da per Email so alles an Infos reinkommt; was also so alles blockiert werden würde, wenn man CSP in der aktuellen Einstellung so nutzen würde.
Wie gesagt, ich nutze dafür "report-only". Einrichten und warten, was da per Email so alles an Infos reinkommt; was also so alles blockiert werden würde, wenn man CSP in der aktuellen Einstellung so nutzen würde.
ok, habe ich gemacht. Entsprechend der aktuellen Einstellung dürfte zumindest der Background-Slider nicht funktionieren. Wie lange mag es dauern, bis Nachrichten darüber eintrudeln?
ok, habe ich gemacht.
Wie genau hast du es denn gemacht? Nur "report-only" aktivieren reicht dafür nicht aus, das sorgt nur für die Nachrichten in der Browserconsole. Wenn man die Einträge per eMail habe möchte. Müsste man auch die Direktive "report-uri" erstellen und auf einen CSP reporter verweisen. Z.B. diesen: GitHub - zero-24/csp-reporter-php: This is a smal csp-reporter script in php that send mails to a spezific mail adress in case of csp violations
Wie genau hast du es denn gemacht? Nur "report-only" aktivieren reicht dafür nicht aus, das sorgt nur für die Nachrichten in der Browserconsole. Wenn man die Einträge per eMail habe möchte. Müsste man auch die Direktive "report-uri" erstellen und auf einen CSP reporter verweisen. Z.B. diesen: GitHub - zero-24/csp-reporter-php: This is a smal csp-reporter script in php that send mails to a spezific mail adress in case of csp violations
Danke! Ich habe dann also eine report-uri mit dem Namen /csp-hotline.php erstellt und das entsprechende php-Script mit meiner email-Adresse ins root-Verzeichnis meiner Seite geladen. Es geschieht jedoch nichts. Die Anleitung ist auch schon etwas in die Jahre gekommen (2013), hat es damit was zu tun?
Hi,
die Anleitung sollte auch aktuell noch funktionieren. Hast du denn CSP Meldungen im Browser und bist du sicher das dein hoster mail() nicht blockiert? Hast du einen Link für mich dann schaue ich mir den CSP gerne später einmal an.
Hi,
die Anleitung sollte auch aktuell noch funktionieren. Hast du denn CSP Meldungen im Browser und bist du sicher das dein hoster mail() nicht blockiert? Hast du einen Link für mich dann schaue ich mir den CSP gerne später einmal an.
Gern. Du meinst diesen Link: https://tantra-lebensart.de/csp-hotline.php?
Gern. Du meinst diesen Link: https://tantra-lebensart.de/csp-hotline.php?
Bei meinem Hoster habe ich dazu ein Ticket laufen. Am Telefon war man zuversichtlich, dass da nichts blockiert sei.
Damit du es mal selbst siehst und später noch nachschauen kannst wie es ursprünglich derzeit war habe ich dir nachfolgend die derzeitigen kompletten Antwort-Kopfzeilen(header) von html-Dokument: https://tantra-lebensart.de/ in den nachfolgenden Spoiler gepackt:
HTTP/2 200 OK
content-type: text/html; charset=utf-8
date: Sat, 22 Feb 2025 14:49:17 GMT
server: Apache
x-frame-options: SAMEORIGIN
referrer-policy: strict-origin-when-cross-origin
cross-origin-opener-policy: same-origin
strict-transport-security: max-age=31536000; preload
content-security-policy-report-only: report-uri https://tantra-lebensart.de/csp-hotline.php; script-src 'strict-dynamic' 'nonce-M2ZkYzlmMzBlZDg3MGExZjhiZTJiOTc5Yjc1MTc3M2IzNzViNjFkMDhiNzg3MTk4MjlhMDA2ZjU3MDRmNDU5YjMwMWFmN2QxODJhYmZmMjNjMmQ0YmRkZjJjZjA3OWRlYjA3YzQ0Y2M5MmEwNmIwYmI2ODk0NTI3ZWRlODI2NTg=' maps.googleapis.com; default-src 'self'; object-src 'none'; report-to https://tantra-lebensart.de/tmp/report; frame-ancestors 'self'
link: </media/vendor/joomla-custom-elements/css/joomla-alert.min.css?0.2.0>; rel=preload; as=style,<https://tantra-lebensart.de/modules/mod_jux_background_slider/assets/css/supersized.shutter.css>; rel=preload; as=style,<https://tantra-lebensart.de/modules/mod_jux_background_slider/assets/css/supersized.css>; rel=preload; as=style,</media/gantry5/engines/nucleus/css-compiled/nucleus.css>; rel=preload; as=style,</templates/g5_helium/custom/css-compiled/helium_34.css>; rel=preload; as=style,</media/gantry5/engines/nucleus/css-compiled/bootstrap5.css>; rel=preload; as=style,</media/system/css/joomla-fontawesome.min.css>; rel=preload; as=style,</media/plg_system_debug/css/debug.css>; rel=preload; as=style,</media/gantry5/assets/css/font-awesome.min.css>; rel=preload; as=style,</templates/g5_helium/custom/css-compiled/helium-joomla_34.css>; rel=preload; as=style,</templates/g5_helium/custom/css-compiled/custom_34.css>; rel=preload; as=style,</media/plg_jspeed/js/instantpage-5.2.0.js?c6f8d4>; rel=preload; as=script,</media/vendor/jquery/js/jquery.min.js?3.7.1>; rel=preload; as=script,</media/legacy/js/jquery-noconflict.min.js?504da4>; rel=preload; as=script,</media/system/js/core.min.js?2cb912>; rel=preload; as=script,</media/system/js/messages.min.js?9a4811>; rel=preload; as=script,<https://tantra-lebensart.de/modules/mod_jux_background_slider/assets/js/jquery-migrate-1.4.1.min.js>; rel=preload; as=script,<https://tantra-lebensart.de/modules/mod_jux_background_slider/assets/js/jquery.easing.min.js>; rel=preload; as=script,<https://tantra-lebensart.de/modules/mod_jux_background_slider/assets/js/supersized.3.2.7.js>; rel=preload; as=script,<https://tantra-lebensart.de/modules/mod_jux_background_slider/assets/theme/supersized.shutter.js>; rel=preload; as=script,<https://tantra-lebensart.de/modules/mod_jux_background_slider/assets/js/default.js>; rel=preload; as=script,</media/gantry5/assets/js/main.js>; rel=preload; as=script
content-encoding: gzip
vary: Accept-Encoding
expires: Wed, 17 Aug 2005 00:00:00 GMT
cache-control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
pragma: no-cache
last-modified: Sat, 22 Feb 2025 14:49:18 GMT
X-Firefox-Spdy: h2Damit du es mal selbst siehst und später noch nachschauen kannst wie es ursprünglich derzeit war habe ich dir nachfolgend die derzeitigen kompletten Antwort-Kopfzeilen(header) von html-Dokument: https://tantra-lebensart.de/ in den nachfolgenden Spoiler gepackt:
Vielen Dank! Ich versuche, da mit den Firefox-Browsertools weiter zu kommen. Nachdem ich die o.g. Angaben als Scriptliste unter script-src angegeben habe, erhalte ich dieses unerfreuliche Ergebnis. Das sagt mir nun so gar nichts. Was mache ich falsch?
dirk63 in deiner Seite wird ein Javascript von Facebook geladen, mutmaßtlich zum Conversion Tracking. Deine CSP erlaubt aber nicht die Einbindung des Scripts. Du musst die entsprechende Domain (connect.facebook.net) in der script-src freigeben.
Ist meine Frage eigentlich zu banal, als dass jemand hier auf die Idee käme, darauf einzugehen?
Ich glaube nicht, dass das Thema zu banal ist. Mir kommt es eher so vor, dass die meisten Webmaster um das Thema vorsichtshalber einen großen Bogen machen, weil es ihnen zu kompliziert ist. Zu diesen Webmastern zähle ich mich auch, obwohl ich weiß, dass eine gute CSP-Einstellung sehr viel zu einer sicheren Website beitragen kann.
Vielleicht hilft Dir dieser (ausführliche) Artikel: https://www.jug-zueri.ch/artikel/das-ht…gin-in-joomla-4
